SlowMist обнаружила опасного npm-червя «Mini Shai-Hulud», который способен похищать ключи CI/CD и данные крипто-кошельков

По данным ChainCatcher, согласно мониторинговой системе угроз MistEye от блокчейн-безопасности SlowMist (@SlowMist_Team), высокоразвитый npm-червь под названием “Mini Shai-Hulud” распространяется через известные проекты разработчиков, такие как TanStack, UiPath, DraftLab. Злоумышленники перехватывают учетные данные GitHub, публикуют вредоносные пакеты под видом легитимных обновлений и внедряют скрытый скрипт router_init.js, который незаметно работает в средах CI/CD, таких как GitHub Actions. Он нацелен на кражу CI/CD-ключей, ключей облачной инфраструктуры и информации криптовалютных кошельков, а для передачи данных используется инфраструктура самого GitHub.

SlowMist уже предоставила своим клиентам соответствующую информацию об угрозах (IOC) и рекомендует проектам, использующим затронутые пакеты, немедленно проверить наличие файла router_init.js в своих CI/CD-пайплайнах, сменить все скомпрометированные GitHub-, облачные и криптовалютные учетные данные, а также постоянно отслеживать подозрительную фоновую активность в среде разработки.